網(wǎng)絡(luò)工程-佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)_第1頁
網(wǎng)絡(luò)工程-佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)_第2頁
網(wǎng)絡(luò)工程-佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)_第3頁
網(wǎng)絡(luò)工程-佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)_第4頁
網(wǎng)絡(luò)工程-佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)_第5頁
已閱讀5頁,還剩41頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

佛山傳媒辦公網(wǎng)絡(luò)規(guī)劃與設(shè)計(jì)摘要:本課題基于佛山傳媒公司大樓的企業(yè)網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì)方案進(jìn)行概括。企業(yè)網(wǎng)絡(luò)通常是一種用戶高密度的非運(yùn)營網(wǎng)絡(luò),在有限的空間內(nèi)聚集了大量的終端和用戶。同時(shí)對(duì)于企業(yè)網(wǎng)絡(luò)而言,注重的是網(wǎng)絡(luò)的簡單可靠、易部署、易維護(hù)。因此,企業(yè)網(wǎng)絡(luò)的規(guī)劃在設(shè)計(jì)上通常采用星型結(jié)構(gòu)作為拓?fù)浣Y(jié)構(gòu),且在邏輯上,可分為核心層、匯聚層、接入層,每一層都有其特點(diǎn)。因此,在本課題中,佛山傳媒公司的網(wǎng)絡(luò)拓?fù)鋵⒉捎萌龑泳W(wǎng)絡(luò)結(jié)構(gòu)進(jìn)行設(shè)計(jì)。通過分層設(shè)計(jì),使得公司網(wǎng)絡(luò)可模塊化增長,提高公司網(wǎng)絡(luò)的可擴(kuò)展性;通過分層設(shè)計(jì)將公司網(wǎng)絡(luò)分成各個(gè)單元,降低了網(wǎng)絡(luò)的整體復(fù)雜性,使得公司網(wǎng)絡(luò)運(yùn)維人員在故障排除中更加容易;通過分層設(shè)計(jì),使得公司網(wǎng)絡(luò)單個(gè)設(shè)備的配置復(fù)雜性大大降低,更容易管理。在三層網(wǎng)絡(luò)結(jié)構(gòu)基礎(chǔ)上,接入層通過MSTP+VRRP的技術(shù)搭配將公司各部門接入網(wǎng)絡(luò)匯聚到匯聚層設(shè)備上,匯聚層設(shè)備作為各部門網(wǎng)絡(luò)的網(wǎng)關(guān),要合理地規(guī)劃好MSTP實(shí)例將各部門流量引導(dǎo)到不同的匯聚網(wǎng)關(guān)設(shè)備上;在匯聚設(shè)備與核心設(shè)備之間通過手工鏈路聚合提高鏈路帶寬,部署OSPF,通過修改OSPFcost值,人為地將流量引導(dǎo)到高帶寬的聚合鏈路上;防火墻作為公司出口網(wǎng)關(guān)設(shè)備,部署雙機(jī)熱備技術(shù),保障公司在訪問互聯(lián)網(wǎng)業(yè)務(wù)時(shí)不會(huì)出現(xiàn)單點(diǎn)故障。關(guān)鍵詞:企業(yè)網(wǎng)絡(luò),網(wǎng)絡(luò)三層結(jié)構(gòu)、冗余備份

NetworkPlanningandDesignofFoshanMediaCompanyAbstract:ThisprojectisbasedontheplananddesignoftheenterprisenetworkofFoshanmediacompanybuilding.Enterprisenetworkisusuallyanonoperationalnetworkwithhighdensityofusers,whichgathersalargenumberofterminalsandusersinalimitedspace.Atthesametime,fortheenterprisenetwork,itfocusesonthesimpleandreliablenetwork,easydeployment,easymaintenance.Therefore,inthedesignofenterprisenetworkplanning,starstructureisusuallyusedasthetopologystructure,andlogically,itcanbedividedintocorelayer,convergencelayerandaccesslayer,eachlayerhasitsowncharacteristics.Therefore,inthisproject,thenetworktopologyofFoshanmediacompanywillbedesignedwiththree-layernetworkstructure.Throughlayereddesign,thecompany'snetworkcanbemodularizedandexpanded,andthecompany'snetworkcanbedividedintovariousunitsthroughlayereddesign,whichreducestheoverallcomplexityofthenetworkandmakesiteasierforthecompany'snetworkoperationandmaintenancepersonneltotroubleshoot.Throughlayereddesign,theconfigurationcomplexityofindividualequipmentofthecompany'snetworkisgreatlyreducedandeasiertomanage。Onthebasisofthethree-layernetworkstructure,theaccesslayerconvergestheaccessnetworkofalldepartmentsofthecompanytotheconvergencelayerequipmentthroughthetechnicalcombinationofMSTP+VRRP.Theconvergencelayerequipment,asthegatewayofeachdepartmentnetwork,shouldreasonablyplantheMSTPinstancetoguidetheflowofeachdepartmenttothedifferentconvergencegatewayequipment.Thelinkbandwidthbetweentheconvergenceequipmentandthecoreequipmentshouldbeimprovedthroughmanuallinkaggregation,deployOSPF,manuallyguidetraffictothehighbandwidthaggregationlinkbymodifyingOSPFcostvalue;astheexportgatewayequipmentofthecompany,deploydualmachinehotstandbytechnologytoensurethatthecompanywillnothaveasinglepointoffailurewhenaccessingInternetbusiness.Keywords:enterprisenetwork,three-tiernetworkstructure,redundantbackup目錄TOC\h\z\t"標(biāo)題1,1,父標(biāo)題,2,子標(biāo)題,3"第1章 緒論 11.1 項(xiàng)目背景 11.2 項(xiàng)目研究意義 11.3 本課題研究的內(nèi)容 11.4 論文的組織結(jié)構(gòu) 2第2章 需求分析 32.1 用戶需求分析 32.2 功能需求分析 32.3 本章小結(jié) 4第3章 網(wǎng)絡(luò)邏輯設(shè)計(jì) 53.1 佛山傳媒辦公網(wǎng)絡(luò)建設(shè)原則 53.2 佛山傳媒辦公網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì) 63.3 設(shè)備選型 83.4 公司網(wǎng)絡(luò)規(guī)劃建設(shè) 93.5 本章小結(jié) 10第4章 網(wǎng)絡(luò)實(shí)施方案 114.1 公司匯聚網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用 114.1.1 VLAN 114.1.2 MSTP 114.1.3 VRRP 134.1.4 DHCP 144.2 公司骨干網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用 154.3 公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用 174.3.1 防火墻雙機(jī)熱備 174.3.2 雙出口網(wǎng)關(guān)與防火墻雙機(jī)熱備的實(shí)施 184.3.3 缺省路由配合IP-LINK鏈路檢測(cè) 194.3.4 防火墻安全策略與NAT策略 204.4 公司總部與分部的主備IPSecVPN搭建 234.5 公司總部與香港服務(wù)器的L2TPVPN搭建 274.6 本章總結(jié) 29第5章 網(wǎng)絡(luò)測(cè)試 305.1 公司匯聚網(wǎng)絡(luò)測(cè)試 305.1.1 MSTP+VRRP的應(yīng)用測(cè)試 305.1.2 DHCP的應(yīng)用測(cè)試 315.2 公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)測(cè)試 325.2.1 公司內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)測(cè)試 325.2.2 防火墻雙機(jī)熱備的應(yīng)用測(cè)試 325.2.3 缺省路由配合IP-LINK鏈路檢測(cè)測(cè)試 335.3 總部與分部的主備IPSecVPN通信測(cè)試 345.4 總部通過L2TPVPN隧道訪問國際網(wǎng)站測(cè)試 365.5 本章總結(jié) 38總結(jié) 39參考文獻(xiàn) 40致謝 41緒論項(xiàng)目背景佛山傳媒有限公司,是一家集廣告、銷售、電商及物流、印刷、系列媒體經(jīng)營業(yè)務(wù)及文化產(chǎn)業(yè)投資業(yè)務(wù)的文化傳媒公司。其中在佛山南海區(qū)、順德區(qū)、三水區(qū)、高明區(qū)設(shè)有分部。禪城區(qū)作為集團(tuán)總部所在地,新建大廈作為總部的辦公核心機(jī)構(gòu),其中總部擁有員工818名。項(xiàng)目研究意義考慮到報(bào)社資金、報(bào)社計(jì)算機(jī)應(yīng)用的現(xiàn)狀、報(bào)社教職員的現(xiàn)有水平以及網(wǎng)絡(luò)建設(shè)和應(yīng)用系統(tǒng)開發(fā)的固有規(guī)律,針對(duì)上述實(shí)際情況,將會(huì)建設(shè)一個(gè)以辦公自動(dòng)化、計(jì)算機(jī)輔助、現(xiàn)代計(jì)算機(jī)新大樓辦公文化為核心,以現(xiàn)代網(wǎng)絡(luò)技術(shù)為依托,技術(shù)先進(jìn)、擴(kuò)展性強(qiáng)、能覆蓋全校主要樓宇的新大樓辦公主干網(wǎng)絡(luò),將報(bào)社的各種PC機(jī)、工作站、終端設(shè)備和局域網(wǎng)連接起來,并與有關(guān)廣域網(wǎng)相連,在網(wǎng)上宣傳自己和獲取Internet網(wǎng)上的教育資源。形成結(jié)構(gòu)合理、內(nèi)外溝通的新大樓辦公計(jì)算機(jī)網(wǎng)絡(luò)系統(tǒng),在此基礎(chǔ)上建立能滿足科研和管理工作需要的軟硬件環(huán)境,開發(fā)各類信息庫和應(yīng)用系統(tǒng),為報(bào)社各類人員提供充分的網(wǎng)絡(luò)信息服務(wù)。系統(tǒng)總體設(shè)計(jì)將本著總體規(guī)劃、分布實(shí)施的原則,充分體現(xiàn)系統(tǒng)的技術(shù)先進(jìn)性、高度的安全可靠性,同時(shí)具有良好的開放性、可擴(kuò)展性。我公司始終本著為報(bào)社著想,合理使用建設(shè)資金,使系統(tǒng)經(jīng)濟(jì)可行,功能強(qiáng)大。本課題研究的內(nèi)容本課題以佛山傳媒公司作為研究對(duì)象,結(jié)合公司對(duì)網(wǎng)絡(luò)建設(shè)的需求和企業(yè)網(wǎng)絡(luò)建設(shè)中所采用的主流協(xié)議技術(shù)進(jìn)行分析,通過華為設(shè)備的技術(shù)與配置來規(guī)劃和實(shí)現(xiàn)佛山傳媒公司網(wǎng)絡(luò)的建設(shè),其中涉及到的路由交換技術(shù)和安全技術(shù)都是在企業(yè)網(wǎng)絡(luò)建設(shè)中普遍采用的主流技術(shù),如數(shù)據(jù)交換和安全技術(shù)中的VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機(jī)熱備、IP-LINK鏈路檢測(cè)、VGMP、NAT、防火墻的安全策略和NAT策略、ACL、IPSecVPN、L2TPVPN等,如何將上面的協(xié)議技術(shù)結(jié)合應(yīng)用到佛山傳媒公司網(wǎng)絡(luò)的建設(shè)是本課題研究的內(nèi)容。論文的組織結(jié)構(gòu)本論文共由5個(gè)章節(jié)組成,主要內(nèi)容及結(jié)構(gòu)安排如下:緒論,主要介紹了公司的背景、項(xiàng)目研究意義和項(xiàng)目研究內(nèi)容。公司網(wǎng)絡(luò)系統(tǒng)需求分析,結(jié)合佛山傳媒公司對(duì)企業(yè)網(wǎng)絡(luò)的建設(shè)需求,參考業(yè)界對(duì)企業(yè)園區(qū)網(wǎng)絡(luò)建設(shè)的建議進(jìn)行分析。公司網(wǎng)絡(luò)邏輯設(shè)計(jì),根據(jù)公司網(wǎng)絡(luò)的需求分析,對(duì)公司網(wǎng)絡(luò)進(jìn)行邏輯設(shè)計(jì),包括公司網(wǎng)絡(luò)拓?fù)湟?guī)劃、設(shè)備選型、系統(tǒng)原則等方面進(jìn)行規(guī)劃。具體實(shí)施方案,按公司需求分析進(jìn)行設(shè)計(jì),將VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機(jī)熱備、IP-LINK鏈路檢測(cè)、VGMP、NAT、防火墻安全策略、防火墻NAT策略、ACL、IPSecVPN、L2TPVPN等技術(shù)運(yùn)用到公司網(wǎng)絡(luò)設(shè)計(jì)中。網(wǎng)絡(luò)測(cè)試,對(duì)網(wǎng)絡(luò)設(shè)計(jì)技術(shù)實(shí)施方案進(jìn)行測(cè)試,保證公司網(wǎng)絡(luò)穩(wěn)定工作。需求分析用戶需求分析設(shè)計(jì)一個(gè)網(wǎng)絡(luò),首先要為用戶分析目前面臨的主要問題,確定用戶對(duì)網(wǎng)絡(luò)的真正需求,并在結(jié)合未來可能的發(fā)展要求的基礎(chǔ)上選擇、設(shè)計(jì)合適的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)技術(shù),提供用戶滿意的高質(zhì)服務(wù)。網(wǎng)絡(luò)在佛山傳媒日常辦公環(huán)境中起著至關(guān)重要的作用,新大樓辦公網(wǎng)的運(yùn)作模式會(huì)帶來大量動(dòng)態(tài)的www應(yīng)用數(shù)據(jù)傳輸,會(huì)有相當(dāng)一部分應(yīng)用的主服務(wù)器有高速接入網(wǎng)絡(luò)的需求(目前為100/1000Mbps,今后可會(huì)更高)。這就要求網(wǎng)絡(luò)有足夠的主干帶寬和擴(kuò)展能力。除上述考慮外,還要注意到由于邏輯上業(yè)務(wù)網(wǎng)和管理網(wǎng)必須分開,所以建成后新大樓辦公網(wǎng)應(yīng)能提供多個(gè)網(wǎng)段的劃分和隔離,并能做到靈活改變配置,以適應(yīng)辦公環(huán)境的調(diào)整和變化,及實(shí)現(xiàn)移動(dòng)辦公的要求。按目前通常的考慮,建議數(shù)據(jù)信息點(diǎn)的接入以交換1000Mbps以太網(wǎng)端口接入為主,以供帶寬需求較高用戶或應(yīng)用使用。整個(gè)方案設(shè)計(jì)的目的是建設(shè)一個(gè)集數(shù)據(jù)傳輸和備份、OA應(yīng)用和Internet訪問等于一體的高可靠、高性能的寬帶多媒體新大樓辦公網(wǎng)。功能需求分析佛山傳媒有限公司總部將按照標(biāo)準(zhǔn)的網(wǎng)絡(luò)三層設(shè)計(jì)原則對(duì)企業(yè)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)進(jìn)行設(shè)計(jì)。通過對(duì)總部的網(wǎng)絡(luò)進(jìn)行需求分析,其中總部共設(shè)有四大部門,分別是行政部、銷售部、財(cái)政部和辦公綜合部,針對(duì)總部情況,有以下幾點(diǎn)要求:根據(jù)需要,對(duì)總部不同部門的IP地址段和VLAN進(jìn)行劃分,并列出詳細(xì)的規(guī)劃表。為了進(jìn)一步提高終端設(shè)備訪問網(wǎng)絡(luò)的穩(wěn)定性,確保冗余性,所以接入層到匯聚層采用MSTP+VRRP的解決方案。匯聚層作為接入層和核心層的中介,在企業(yè)網(wǎng)絡(luò)中有著承上啟下的作用,在這里匯聚層設(shè)備與核心層設(shè)備采用OSPF的解決方案,利用鏈路狀態(tài)路由協(xié)議的特點(diǎn),實(shí)現(xiàn)匯聚到核心層的冗余性。防火墻作為公司網(wǎng)關(guān)出口設(shè)備,為了避免單點(diǎn)故障導(dǎo)致公司無法訪問互聯(lián)網(wǎng),在這里采用雙防火墻的主備雙機(jī)熱備解決方案。為了避免運(yùn)營商出現(xiàn)光纖故障、上聯(lián)機(jī)房設(shè)備故障等問題導(dǎo)致公司無法訪問互聯(lián)網(wǎng)所造成的工作和經(jīng)濟(jì)上的影響,公司分別向中國電信和中國聯(lián)通租用了ISP線路,實(shí)現(xiàn)互聯(lián)網(wǎng)線路的主備冗余,但為了充分利用資源,公司會(huì)同時(shí)使用兩條線路進(jìn)行互聯(lián)網(wǎng)的訪問,如果其中一條線路發(fā)生故障,網(wǎng)關(guān)設(shè)備也可以通過IP-LINK檢測(cè)自動(dòng)平滑地切換到另外一條線路。公司設(shè)有四個(gè)分部,分別是南海分部、順德分部、三水分部和高明分部。公司要求實(shí)現(xiàn)總部與分部的互聯(lián)互通,在這里將采用搭建IPSecVPN的方式進(jìn)行解決。公司總部對(duì)國際網(wǎng)站有訪問的需求,但因?yàn)楦鞣N原因?qū)е聼o法訪問或訪問緩慢,在這里總部購買了運(yùn)營商的服務(wù),與運(yùn)營商香港服務(wù)器搭建L2TPVPN,通過域名訪問方式訪問國際網(wǎng)站。本章小結(jié)通過對(duì)佛山傳媒公司網(wǎng)絡(luò)建設(shè)的需求分析可以得出,如何保證辦公網(wǎng)絡(luò)的高效性、可靠性和冗余性是非常需要重視的問題,因此針對(duì)需求如何更好地進(jìn)行公司網(wǎng)絡(luò)的規(guī)劃和技術(shù)實(shí)施,是我們要研究的方向。網(wǎng)絡(luò)邏輯設(shè)計(jì)佛山傳媒辦公網(wǎng)絡(luò)建設(shè)原則隨著現(xiàn)代計(jì)算機(jī)應(yīng)用的高速發(fā)展,特別是諸如圖形、語音、視頻等多媒體信息和技術(shù)在管理信息系統(tǒng)、科研設(shè)計(jì)等領(lǐng)域的廣泛應(yīng)用,為網(wǎng)絡(luò)平臺(tái)的設(shè)計(jì)提出了更高的要求。為了更好地滿足用戶的需求,保證系統(tǒng)能正常穩(wěn)定運(yùn)行,在較長的時(shí)間內(nèi)不落后,在本網(wǎng)絡(luò)系統(tǒng)方案設(shè)計(jì)中,我們認(rèn)為應(yīng)當(dāng)把握以下幾個(gè)原則:1、穩(wěn)定性只有運(yùn)行穩(wěn)定的網(wǎng)絡(luò)才是可靠的網(wǎng)絡(luò),而網(wǎng)絡(luò)的可靠運(yùn)行取決于諸多因素,如網(wǎng)絡(luò)的設(shè)計(jì),產(chǎn)品的可靠,而選擇一個(gè)具有運(yùn)營此類網(wǎng)絡(luò)規(guī)模經(jīng)驗(yàn)的網(wǎng)絡(luò)合作廠商則更為重要。要求有物理層、數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層的備份技術(shù)。2、高帶寬為了支持?jǐn)?shù)據(jù)、話音、視像多媒體的傳輸能力,在技術(shù)上要到達(dá)當(dāng)前的國際先進(jìn)水平。要采用最先進(jìn)的網(wǎng)絡(luò)技術(shù),以適應(yīng)大量數(shù)據(jù)和多媒體信息的傳輸,既要滿足目前的業(yè)務(wù)需求,又要充分考慮未來的發(fā)展。為此應(yīng)選用高帶寬的先進(jìn)技術(shù)。3、先進(jìn)性網(wǎng)絡(luò)硬件、軟件平臺(tái)的先進(jìn)性,要注意選擇性能價(jià)格比好的先進(jìn)技術(shù)和硬件和軟件組網(wǎng),保證系統(tǒng)的基礎(chǔ)環(huán)境十年不落后。4、標(biāo)準(zhǔn)性和開放性選擇統(tǒng)一性的網(wǎng)絡(luò)結(jié)構(gòu)與軟件硬件平臺(tái),有利于系統(tǒng)的建立與開發(fā)。制定信息管理的規(guī)范,在報(bào)社領(lǐng)導(dǎo)下,組織有關(guān)人員對(duì)管理信息系統(tǒng)進(jìn)行系統(tǒng)分析,制定數(shù)據(jù)流圖和數(shù)據(jù)結(jié)構(gòu),為信息系統(tǒng)的開發(fā)奠定基礎(chǔ)。為了實(shí)現(xiàn)與各種網(wǎng)絡(luò)互訪的要求,要選擇開放的網(wǎng)絡(luò)體系結(jié)構(gòu),既要選擇當(dāng)前的主流產(chǎn)品,又要具有開放性,以利于今后的擴(kuò)充。5、可擴(kuò)展性系統(tǒng)要有可擴(kuò)展性和可升級(jí)性,隨著業(yè)務(wù)的增長和應(yīng)用水平的提高,網(wǎng)絡(luò)中的數(shù)據(jù)和信息流將按指數(shù)增長,需要網(wǎng)絡(luò)有很好的可擴(kuò)展性,并能隨著技術(shù)的發(fā)展不斷升級(jí)。易擴(kuò)展不僅僅指設(shè)備端口的擴(kuò)展,還指網(wǎng)絡(luò)結(jié)構(gòu)的易擴(kuò)展性:即只有在網(wǎng)絡(luò)結(jié)構(gòu)設(shè)計(jì)合理的情況下,新的網(wǎng)絡(luò)節(jié)點(diǎn)才能方便地加入已有網(wǎng)絡(luò);網(wǎng)絡(luò)協(xié)議的易擴(kuò)展:無論是選擇第三層網(wǎng)絡(luò)路由協(xié)議,還是規(guī)劃第二層虛擬網(wǎng)的劃分,都應(yīng)注意其擴(kuò)展能力。6、容易控制管理因?yàn)樯暇W(wǎng)用戶很多,如何管理好他們的通信,做到既保證一定的用戶通信質(zhì)量,又合理的利用網(wǎng)絡(luò)資源,是建好一個(gè)網(wǎng)絡(luò)所面臨的首要問題。7、經(jīng)濟(jì)性充分利用原有的軟件、硬件資源,減少投資浪費(fèi),做到高性能價(jià)格比。8、安全性網(wǎng)絡(luò)系統(tǒng)應(yīng)具有良好的安全性,保證數(shù)據(jù)的安全及網(wǎng)絡(luò)使用的安全。由于佛山傳媒網(wǎng)絡(luò)連接園區(qū)內(nèi)部所有用戶,安全管理十分重要。應(yīng)支持VLAN的劃分,并能在VLAN之間進(jìn)行第三層交換時(shí)進(jìn)行有效的安全控制,以保證系統(tǒng)的安全性。9、符合IP發(fā)展趨勢(shì)的網(wǎng)絡(luò)在當(dāng)前任何一個(gè)提供服務(wù)的網(wǎng)絡(luò)中,對(duì)IP的支持服務(wù)是最普遍的,而IP技術(shù)本身又處在發(fā)展變化中,如IpV6,IPQoS,IPOverSONET等等新興的技術(shù)不斷出現(xiàn),佛山傳媒新大樓辦公網(wǎng)絡(luò)必須跟緊IP發(fā)展的步伐,也就是必須選擇處于IP發(fā)展領(lǐng)導(dǎo)地位的網(wǎng)絡(luò)廠商。在后面的網(wǎng)絡(luò)技術(shù)選型和系統(tǒng)方案中,以上設(shè)計(jì)原則和思想都將會(huì)被貫徹始終。佛山傳媒辦公網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì)佛山傳媒辦公網(wǎng)絡(luò)采用三層網(wǎng)絡(luò)設(shè)計(jì),整體的網(wǎng)絡(luò)拓?fù)淙缦聢D所示:圖STYLEREF1\s3SEQ圖\*ARABIC\s11佛山傳媒公司整體網(wǎng)絡(luò)拓?fù)湟?guī)劃雙出口網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)鋱D如下所示,公司分別向聯(lián)通和電信申請(qǐng)了一條互聯(lián)網(wǎng)線路,但運(yùn)營商并不會(huì)為公司給出兩條鏈路讓公司網(wǎng)絡(luò)接入到互聯(lián)網(wǎng),所以在這里需要用到兩臺(tái)交換機(jī)分別對(duì)接聯(lián)通和電信線路,并從交換機(jī)上引出兩條鏈路下接到公司的兩臺(tái)出口網(wǎng)關(guān)防火墻設(shè)備上:圖STYLEREF1\s3SEQ圖\*ARABIC\s12佛山傳媒公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)拓?fù)涔歉删W(wǎng)絡(luò)拓?fù)鋱D如下所示,骨干網(wǎng)絡(luò)要保證高效性、冗余性和可靠性,是公司網(wǎng)絡(luò)的樞紐中心,所以在防火墻到核心交換機(jī)、核心交換機(jī)到匯聚交換機(jī)之間使用手工鏈路聚合技術(shù),提高鏈路帶寬,并通過在骨干網(wǎng)絡(luò)中部署OSPF確保公司骨干網(wǎng)絡(luò)的全互聯(lián),由于部分鏈路并沒有使用鏈路聚合,僅作為備份,所以需要通過修改OSPF的cost值人為地引導(dǎo)流量走向聚合鏈路:圖STYLEREF1\s3SEQ圖\*ARABIC\s13佛山傳媒公司骨干網(wǎng)絡(luò)拓?fù)鋱D匯聚網(wǎng)絡(luò)拓?fù)鋱D如下所示,將公司各部門流量匯聚到匯聚設(shè)備上:圖STYLEREF1\s3SEQ圖\*ARABIC\s14佛山傳媒公司匯聚網(wǎng)絡(luò)拓?fù)鋱D設(shè)備選型接入層設(shè)備選擇使用華為5720S-52P-LI-AC,48個(gè)自適應(yīng)10/100/1000M以太網(wǎng)端口和4個(gè)千兆SFP。該設(shè)備支持STP/RSTP/MSTP等主流的生成樹協(xié)議,支持各種主流的VLAN特性,足夠滿足匯聚網(wǎng)絡(luò)中接入設(shè)備所使用到MSTP和VLAN技術(shù)。圖STYLEREF1\s3SEQ圖\*ARABIC\s15華為5720S-52P-LI-AC匯聚層和核心層都選擇使用華為S5735S-S32ST4X,8個(gè)自適應(yīng)10/100/1000M以太網(wǎng)端口、24個(gè)千兆SPF和4個(gè)萬兆SFP。該設(shè)備支持STP/RSTP/MSTP等主流的生成樹協(xié)議,支持各種主流的VLAN特性,最重要的是可以支持OSPF協(xié)議等鏈路動(dòng)態(tài)協(xié)議,公司需要通過部署OSPF實(shí)現(xiàn)骨干網(wǎng)絡(luò)的全互聯(lián),滿足骨干網(wǎng)絡(luò)建設(shè)需求。圖STYLEREF1\s3SEQ圖\*ARABIC\s16華為S5735S-S32ST4X出口網(wǎng)關(guān)設(shè)備選擇使用華為USG-6315E,2個(gè)萬兆WAN口、2個(gè)萬兆SFP口和8個(gè)GECombo口(千兆光電復(fù)用口)。該設(shè)備支持IPSecVPN、L2TPVPN等主流VPN技術(shù),支持雙機(jī)熱備技術(shù)和IP-link檢測(cè)技術(shù),滿足公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)建設(shè)需求:圖STYLEREF1\s3SEQ圖\*ARABIC\s17華為USG-6315E公司網(wǎng)絡(luò)規(guī)劃建設(shè)佛山傳媒公司總部一共設(shè)置了四個(gè)部門,分別是行政部、銷售部、財(cái)政部和辦公綜合部,其中辦公綜合部另外設(shè)置了IT部、綜合部、服務(wù)器管理和監(jiān)控管理;公司有四個(gè)分部、分別是南海分部、順德分部、三水分部和高明分部。針對(duì)公司上述情況,為不同分部和總部不同部門進(jìn)行IP網(wǎng)段和VLAN的規(guī)劃。公司總部各部門IP網(wǎng)段和vlan規(guī)劃:表STYLEREF1\s3SEQ表\*ARABIC\s11公司總部各部門IP網(wǎng)段和vlan規(guī)劃部門VLAN網(wǎng)段網(wǎng)關(guān)可分配地址數(shù)行政部10/2454251銷售部20/2454251財(cái)政部30/2454251IT部40/2454251服務(wù)器網(wǎng)絡(luò)50/2454251監(jiān)控網(wǎng)絡(luò)60/2454251綜合部72/22541020公司各分部IP網(wǎng)段和vlan規(guī)劃:表STYLEREF1\s3SEQ表\*ARABIC\s12公司各分部IP網(wǎng)段和vlan規(guī)劃分部VLAN網(wǎng)段網(wǎng)關(guān)可分配地址數(shù)南海80/22541022順德88/22541022三水96/22541022高明104/22541022本章小結(jié)通過對(duì)公司辦公網(wǎng)絡(luò)的規(guī)劃與設(shè)計(jì),其中包括針對(duì)網(wǎng)絡(luò)技術(shù)需求進(jìn)行設(shè)備選型和辦公網(wǎng)絡(luò)拓?fù)湓O(shè)計(jì),在對(duì)公司網(wǎng)絡(luò)拓?fù)渲械膮R聚網(wǎng)絡(luò)、骨干網(wǎng)絡(luò)和雙出口網(wǎng)關(guān)網(wǎng)絡(luò)進(jìn)行了較為詳細(xì)的分析,并根據(jù)公司實(shí)際情況,對(duì)公司各部門進(jìn)行了VLAN和IP地址網(wǎng)段的規(guī)劃,為后續(xù)的網(wǎng)絡(luò)實(shí)施方案做好充分的準(zhǔn)備,確保該項(xiàng)目方案能夠順利地進(jìn)行。網(wǎng)絡(luò)實(shí)施方案公司匯聚網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用VLAN在我們規(guī)劃一個(gè)網(wǎng)絡(luò)時(shí),應(yīng)該始終關(guān)注網(wǎng)絡(luò)中的廣播域的大小,采用適當(dāng)?shù)募夹g(shù)將一個(gè)大的廣播域切割成若干個(gè)小的單元,在這里,我們采用VLAN(VirtualLocalAreaNetwork,虛擬局域網(wǎng)技術(shù))技術(shù),結(jié)合佛山傳媒公司對(duì)于網(wǎng)絡(luò)建設(shè)的需求,我們對(duì)公司各部門和各部門下屬分支設(shè)置了不同的VLAN。在這里采用VLAN可以隔絕廣播,減少公司網(wǎng)絡(luò)的廣播流量,提高公司網(wǎng)絡(luò)的穩(wěn)定性,在部署VLAN時(shí)也使得在規(guī)劃辦公網(wǎng)絡(luò)時(shí)更加靈活,提高了公司網(wǎng)絡(luò)的可管理性,極大地方便了網(wǎng)絡(luò)管理和維護(hù)。佛山傳媒公司各部門和各部門下屬分支規(guī)劃了不同的VLAN和IP網(wǎng)段,在接入交換機(jī)采用基于端口劃分VLAN的方式進(jìn)行配置,比如接入交換機(jī)的G0/0/11劃分給了行政部(VLAN10),G0/0/12劃分給了銷售部(VLAN20)、G0/0/13劃分給了財(cái)政部(VLAN30)、G0/0/14劃分給了IT部(VLAN40)、G0/0/15劃分給了綜合部(VLAN72),然后通過下聯(lián)傻瓜交換機(jī)將各VLAN接入到匯聚網(wǎng)絡(luò)中的接入交換機(jī)上。MSTP在佛山傳媒公司網(wǎng)絡(luò)中,我們會(huì)部署冗余的設(shè)備和冗余的鏈路,從而使公司業(yè)務(wù)流量在故障發(fā)生時(shí)通過冗余的設(shè)備及冗余的鏈路進(jìn)行轉(zhuǎn)發(fā)。我們?cè)趨R聚網(wǎng)絡(luò)中采用生成樹協(xié)議,來實(shí)現(xiàn)設(shè)備和鏈路的冗余,其中:生成樹協(xié)議能消除二層環(huán)路,通過部署生成樹協(xié)議,當(dāng)交換網(wǎng)絡(luò)存在環(huán)路時(shí),交換機(jī)之間會(huì)通過交互BPDU報(bào)文進(jìn)行一系列的計(jì)算,將生成樹會(huì)將網(wǎng)絡(luò)中的一個(gè)接口或多個(gè)接口進(jìn)行阻塞,形成一個(gè)無環(huán)的交換網(wǎng)絡(luò)。生成樹協(xié)議能夠備份鏈路,當(dāng)活動(dòng)路徑發(fā)生故障時(shí),激活備份鏈路,及時(shí)恢復(fù)網(wǎng)絡(luò)連通性。目前華為支持三種生成樹協(xié)議,分別是:STP、RSTP和MSTP。在這里我們選擇MSTP作為實(shí)施公司匯聚網(wǎng)絡(luò)的技術(shù),而不選擇STP和RSTP,因?yàn)椋篠TP和RSTP會(huì)導(dǎo)致公司匯聚網(wǎng)絡(luò)無法實(shí)現(xiàn)流量分擔(dān),因?yàn)樯蓸鋮f(xié)議的特性,在經(jīng)過計(jì)算后會(huì)阻塞一個(gè)接口或多個(gè)接口,從而導(dǎo)致被阻塞的鏈路無法轉(zhuǎn)發(fā)流量,造成鏈路的浪費(fèi)。STP和RSTP會(huì)導(dǎo)致公司匯聚網(wǎng)絡(luò)產(chǎn)生次優(yōu)二層路徑。所以,選擇MSTP作為公司匯聚網(wǎng)絡(luò)實(shí)施的技術(shù),將徹底解決以上存在的不足。MSTP,也稱為多實(shí)例生成樹協(xié)議,MSTP兼容STP和RSTP,既可以快速收斂,又提供了數(shù)據(jù)轉(zhuǎn)發(fā)的各個(gè)冗余路徑,在數(shù)據(jù)轉(zhuǎn)發(fā)過程中實(shí)現(xiàn)VLAN數(shù)據(jù)的負(fù)載均衡。一個(gè)MST域內(nèi)可以生成多顆生成樹,每顆生成樹都稱為一個(gè)MSTI(實(shí)例),每個(gè)MSTI都是使用單獨(dú)的RSTP算法,計(jì)算單獨(dú)的生成樹。在公司匯聚網(wǎng)絡(luò)中,一共設(shè)置了兩個(gè)實(shí)例,分別是instance10和instance20。其中instance10映射VLAN10、VLAN20、VLAN30、VLAN40,instance20映射VLAN72;匯聚交換機(jī)LSW7作為instance10的主根橋,instance20的備根橋,匯聚交換機(jī)LSW8作為instance20的主根橋,instance10的備根橋。通過以上的規(guī)劃,使得行政部、銷售部、財(cái)政部和IT部的流量都由交換機(jī)LSW7來承擔(dān),綜合部的流量由LSW8來承擔(dān),實(shí)現(xiàn)流量的負(fù)載分擔(dān),一旦發(fā)生鏈路故障或者設(shè)備故障,MSTP也能通過端口角色的快速切換和P/A機(jī)制快速收斂網(wǎng)絡(luò),實(shí)現(xiàn)網(wǎng)絡(luò)的冗余性。在這里以LSW7交換機(jī)中作為配置舉例,用圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s11LSW7交換機(jī)MSTP配置示例VRRP在佛山傳媒公司網(wǎng)絡(luò)中,匯聚交換機(jī)作為各接入部門的網(wǎng)關(guān)設(shè)備,因?yàn)椴捎肕STP的原因,如果其中匯聚設(shè)備LSW7發(fā)生了故障,那么將會(huì)觸發(fā)MSTP的收斂計(jì)算,MSTP會(huì)將發(fā)往故障設(shè)備LSW7的流量切換到備的匯聚交換機(jī)LSW8,但是如果LSW8并沒有行政部、銷售部、財(cái)政部和IT部的網(wǎng)關(guān),那么將會(huì)造成單網(wǎng)關(guān)故障,使得行政部、銷售部、財(cái)政部和IT部的流量都無法發(fā)往internet,所以,為了解決上述的問題,我們?cè)谶@里采用VRRP(虛擬路由冗余協(xié)議)技術(shù)。LSW7和LSW8作為各接入部門的網(wǎng)關(guān)設(shè)備,其中LSW7是行政部、銷售部、財(cái)政部和IT部的主設(shè)備,LSW8是綜合部的主設(shè)備,所以我們?cè)贚SW7和LSW8分別以各部門VLAN號(hào)作為VRRP的進(jìn)程號(hào),配合MSTP,設(shè)置不同MSTP實(shí)例下不同匯聚交換機(jī)的不同VRRP進(jìn)程的優(yōu)先級(jí)。下面將以交換機(jī)LSW7的instance10作為舉例:在instance10中,LSW7作為行政部的主交換機(jī),于是在LSW7的vlanif10接口下根據(jù)行政部的VLAN號(hào)10設(shè)置了進(jìn)程號(hào)為10的VRRP,VRRP優(yōu)先級(jí)設(shè)置為120,虛擬的網(wǎng)關(guān)地址為規(guī)劃的54,vlanif10的接口地址設(shè)置為52,然后在LSW8的vlanif10接口下,配置接口地址為53,設(shè)置進(jìn)程號(hào)為10的VRRP,VRRP優(yōu)先級(jí)為默認(rèn)的100,虛擬的網(wǎng)關(guān)地址為規(guī)劃的54,銷售部、財(cái)政部和IT部均按照以上操作執(zhí)行。綜合部將LSW7作為備交換機(jī),所以在LSW7的instance10中,在LSW7的vlanif72接口下根據(jù)綜合部的VLAN號(hào)72設(shè)置了進(jìn)程號(hào)為72的VRRP,VRRP優(yōu)先級(jí)為默認(rèn)的100,虛擬的網(wǎng)關(guān)地址為規(guī)劃的54,vlanif72的接口地址設(shè)置為52,然后在LSW8的vlanif10接口下,配置接口地址為53,設(shè)置進(jìn)程號(hào)為70的VRRP,VRRP優(yōu)先級(jí)為默認(rèn)的120,虛擬的網(wǎng)關(guān)地址為規(guī)劃的54。在設(shè)置完VRRP后,如果當(dāng)主交換機(jī)發(fā)生了故障,那么VRRP將備交換機(jī)切換為主交換機(jī),實(shí)現(xiàn)故障交換機(jī)的流量能通過備交換機(jī)轉(zhuǎn)發(fā)出去,但此時(shí)如果匯聚交換機(jī)LSW7和LSW8的上行鏈路Down掉了,那么VRRP并不會(huì)進(jìn)行切換,那么發(fā)往Internet的流量將會(huì)丟失,另外如果是下行鏈路Down掉了,VRRP也并不會(huì)進(jìn)行切換,此時(shí)會(huì)觸發(fā)MSTP端口角色的切換和計(jì)算,將流量從切換角色后的端口進(jìn)行轉(zhuǎn)發(fā),造成次優(yōu)路徑,為了解決以上的問題,在這里我們配置VRRP的鏈路聯(lián)動(dòng)功能,用來監(jiān)測(cè)上行鏈路或者下行鏈路的情況,一旦出現(xiàn)了鏈路故障,那么VRRP將會(huì)發(fā)現(xiàn)并減少VRRP的優(yōu)先級(jí),完成主備交換機(jī)的切換。在這里以LSW7交換機(jī)中instance10實(shí)例里的行政部VLAN10作為配置舉例,用圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s12VRRP10的配置示例DHCP佛山傳媒公司共有員工818名,假設(shè)為每名員工配上辦公電腦,如果通過手工配置IP的方式來為每臺(tái)辦公電腦配置靜態(tài)地址的話,那么這將是很大的工作量,而且將會(huì)使得IP地址資源不能得到充分利用,造成浪費(fèi)。所以,在這里我們采用DHCP的方式為公司各部門的辦公設(shè)備分配地公司骨干網(wǎng)路技術(shù)實(shí)施應(yīng)用。結(jié)合公司匯聚網(wǎng)絡(luò)的情況,匯聚交換機(jī)LSW7和LSW8作為各部門的網(wǎng)關(guān)設(shè)備,且通過MSTP+VRRP的技術(shù)搭配實(shí)現(xiàn)了匯聚交換機(jī)設(shè)備和鏈路的冗余性,我們決定在兩臺(tái)匯聚交換機(jī)都設(shè)置各部門的DHCP地址池,但這樣做會(huì)存在問題,比如當(dāng)主交換機(jī)LSW7發(fā)生了故障,VRRP進(jìn)程會(huì)將備交換機(jī)LSW8切換為主交換機(jī),那么行政部的流量都會(huì)通往LSW8,如果此時(shí)行政部有還未獲取到地址的終端設(shè)備接入到網(wǎng)絡(luò),那么LSW8的行政部地址池會(huì)為該終端設(shè)備分配一個(gè)地址,由于LSW7和LSW8的DHCP是冷備DHCP,LSW8并不知道LSW7分配出去了什么地址,所以可能會(huì)出現(xiàn)IP地址沖突的問題。為了避免以上的問題,我們?cè)贚SW7和LSW8設(shè)置好各部門的地址池后,也要設(shè)置好禁止分配的地址,以綜合部為例,LSW8作為綜合部的主交換機(jī),在LSW8上設(shè)置名稱為vlan72的地址池,分配的地址范圍是/22,禁止分配的地址為到55,LSW7作為綜合部的備交換機(jī),在LSW7上設(shè)置名稱為vlan72的地址池,分配的地址范圍是/22,禁止分配的地址為到53。在這里以交換機(jī)LSW7和LSW8上的vlan72地址池作為配置舉例,用圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s13主交換機(jī)LSW8上的vlan10地址池配置圖STYLEREF1\s4SEQ圖\*ARABIC\s14備交換機(jī)LSW7上的vlan10地址池配置公司骨干網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用佛山傳媒公司的骨干網(wǎng)絡(luò)對(duì)于整個(gè)公司的網(wǎng)絡(luò)而言起著至關(guān)重要的作用,骨干網(wǎng)絡(luò)要保證高效性、冗余性和可靠性,是公司網(wǎng)絡(luò)的樞紐中心。在公司的骨干網(wǎng)絡(luò)中,由2臺(tái)出口網(wǎng)關(guān)防火墻設(shè)備FW1、FW2和2臺(tái)核心交換機(jī)LSW9、LSW10還有2臺(tái)匯聚交換機(jī)LSW7、LSW8組成。由于骨干網(wǎng)絡(luò)承載著公司各部門的業(yè)務(wù)路由,路由數(shù)目相對(duì)較多,如果在這里采用靜態(tài)路由的方式來寫骨干網(wǎng)絡(luò)的路由,那么將會(huì)導(dǎo)致骨干網(wǎng)絡(luò)的配置變得繁重,也難以適應(yīng)以后公司對(duì)骨干網(wǎng)絡(luò)的升級(jí),而且一旦骨干網(wǎng)絡(luò)的某臺(tái)設(shè)備發(fā)生故障,靜態(tài)路由也并不能感知到網(wǎng)絡(luò)發(fā)生了故障,造成流量的丟失。為了更好的解決上述的問題,在這里我們采用了鏈路動(dòng)態(tài)協(xié)議OSPF技術(shù)來進(jìn)行實(shí)施。OSPF(開放式最短路徑優(yōu)先)作為鏈路動(dòng)態(tài)協(xié)議中的一種技術(shù),通過鏈路狀態(tài)數(shù)據(jù)庫的鏈路狀態(tài)信息(LSA),計(jì)算出OSPF的路由表,實(shí)現(xiàn)公司骨干網(wǎng)絡(luò)的全互聯(lián)。得益于鏈路狀態(tài)路由協(xié)議的特點(diǎn),即使設(shè)備或者鏈路發(fā)生了故障,OSPF也能重新收斂網(wǎng)絡(luò),將流量切換到其他的鏈路上,避免了流量的丟失,保證了骨干網(wǎng)絡(luò)的高效性、可靠性和冗余性。由于骨干網(wǎng)絡(luò)通過路由進(jìn)行轉(zhuǎn)發(fā),所以要關(guān)閉交換機(jī)的生成樹功能,避免出現(xiàn)端口被阻塞無法建立OSPF鄰居狀態(tài)的情況發(fā)生。在這里以核心交換機(jī)LSW9作為基本的OSPF配置舉例,以圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s15基本的OSPF配置舉例在公司的骨干網(wǎng)絡(luò)配置OSPF時(shí),我們將設(shè)備接口改為P2P的OSPF網(wǎng)絡(luò)類型來建立各設(shè)備的OSPF鄰居關(guān)系,而不采用Broadcast的OSPF網(wǎng)絡(luò)類型進(jìn)行建立,因?yàn)樵贐roadcast網(wǎng)絡(luò)類型下,OSPF將會(huì)選舉DR/BDR,而在P2P網(wǎng)絡(luò)類型下并不會(huì)選舉DR/BDR,很明顯的看出P2P網(wǎng)絡(luò)類型的收斂速度要優(yōu)于Broadcast網(wǎng)絡(luò)類型。要注意的是,骨干網(wǎng)絡(luò)所有設(shè)備都要將OSPF網(wǎng)絡(luò)類型修改為P2P,如果存在部分設(shè)備接口是P2P網(wǎng)絡(luò)類型,部分設(shè)備接口是Broadcast接口類型的情況,雖然能建立關(guān)系,但不會(huì)交換LSA,導(dǎo)致無法計(jì)算OSPF路由。在這里以核心交換機(jī)LSW9作為OSPF網(wǎng)絡(luò)類型修改配置舉例,以圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s16OSPF網(wǎng)絡(luò)類型修改配置舉例交換機(jī)LSW7和LSW8作為匯聚網(wǎng)絡(luò)中的匯聚交換機(jī),為了使骨干網(wǎng)絡(luò)擁有各部門的路由,匯聚交換機(jī)將各部門的路由發(fā)布到OSPF中。匯聚交換機(jī)下聯(lián)的交換機(jī)并不需要建立OSPF鄰居,但仍然會(huì)收到OSPF的hello報(bào)文,這很明顯是不必要的,而且也存在一定的危險(xiǎn),如果公司內(nèi)網(wǎng)存在部分惡意客戶端通過偽造OSPFhello報(bào)文試圖建立OSPF鄰居關(guān)系,導(dǎo)致OSPF網(wǎng)絡(luò)多次收斂,這將會(huì)使骨干網(wǎng)絡(luò)變得不穩(wěn)定,造成嚴(yán)重的業(yè)務(wù)影響,所以,在匯聚交換機(jī)LSW7和LSW8中,對(duì)部分接口設(shè)置為silent-interface(OSPF靜默接口)。在這里以匯聚交換機(jī)LSW7作為配置舉例,以圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s17OSPF配置靜默接口配置舉例公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)技術(shù)實(shí)施應(yīng)用防火墻雙機(jī)熱備一般而言,我們都會(huì)使用防火墻作為企業(yè)園區(qū)網(wǎng)絡(luò)的出口網(wǎng)關(guān)設(shè)備,通過防火墻訪問外網(wǎng)。當(dāng)防火墻設(shè)備出現(xiàn)了故障,那么訪問外網(wǎng)的業(yè)務(wù)都會(huì)全部中斷,如果此時(shí)就僅僅只有一臺(tái)防火墻作為企業(yè)網(wǎng)絡(luò)的出口網(wǎng)關(guān)設(shè)備,無論該防火墻性能有多么的強(qiáng)勁,只要出現(xiàn)故障就會(huì)出現(xiàn)網(wǎng)絡(luò)出口網(wǎng)絡(luò)的單點(diǎn)故障,造成公司網(wǎng)絡(luò)的業(yè)務(wù)中斷,所以,在這里我們?yōu)榱吮WC網(wǎng)絡(luò)的可靠性和設(shè)備的冗余性,部署兩臺(tái)防火墻作為公司網(wǎng)絡(luò)的出口網(wǎng)絡(luò)設(shè)備。由于防火墻是基于連接狀態(tài)的,它會(huì)對(duì)于一條流量的首包進(jìn)行完整的檢測(cè),并建立會(huì)話來記錄報(bào)文的狀態(tài)信息(包括:報(bào)文源IP、源端口、目的IP、目的端口、協(xié)議)。而這條流量的后續(xù)報(bào)文只有匹配會(huì)話才能通過防火墻且完成報(bào)文轉(zhuǎn)發(fā),如果后續(xù)報(bào)恩不匹配會(huì)話則被防火墻丟棄。當(dāng)防火墻FW1出現(xiàn)故障,業(yè)務(wù)流量都會(huì)被引導(dǎo)到FW2,但由于FW2并沒有FW1的會(huì)話,導(dǎo)致業(yè)務(wù)報(bào)文無法找到會(huì)話而被FW2丟棄,導(dǎo)致公司業(yè)務(wù)中斷。所以,我們采用防火墻的主備備份方式的雙機(jī)熱備來解決上述的問題,通過雙機(jī)熱備技術(shù),防火墻之間的會(huì)話都是相互備份的,當(dāng)一臺(tái)防火墻發(fā)生了故障,后續(xù)的業(yè)務(wù)流量也能通過備防火墻進(jìn)行轉(zhuǎn)發(fā),避免公司網(wǎng)絡(luò)業(yè)務(wù)的中斷。雙出口網(wǎng)關(guān)與防火墻雙機(jī)熱備的實(shí)施為了避免運(yùn)營商出現(xiàn)光纖故障、上聯(lián)機(jī)房設(shè)備故障等問題導(dǎo)致公司無法訪問互聯(lián)網(wǎng)所造成的工作和經(jīng)濟(jì)上的影響,佛山傳媒公司分別向中國聯(lián)通和中國電信租用了兩條線路,且都各自申請(qǐng)了3個(gè)公網(wǎng)IP地址(聯(lián)通:-3,電信:-3)。由于運(yùn)營商并不會(huì)給出兩條鏈路讓公司網(wǎng)絡(luò)接入到互聯(lián)網(wǎng),所以在公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)中,我們使用兩臺(tái)傻瓜交換機(jī)分別對(duì)接電信和聯(lián)通的運(yùn)營商設(shè)備,然后從傻瓜交換機(jī)上引出兩條物理鏈路分別下接到兩臺(tái)防火墻的上行接口上,然后開始對(duì)公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)進(jìn)行實(shí)施:在防火墻上建立心跳線的安全區(qū)域,在這里將心跳線安全區(qū)域的安全等級(jí)設(shè)為75,并且放入防火墻的上行接口,配置圖如下:圖STYLEREF1\s4SEQ圖\*ARABIC\s18建立心跳線的安全區(qū)域在防火墻上配置VRRP組,其中FW1作為主防火墻,配置為Active:圖STYLEREF1\s4SEQ圖\*ARABIC\s19防火墻上配置VRRP組在FW1防火墻上配置心跳接口,并啟用雙機(jī)熱備,以FW1為例:圖STYLEREF1\s4SEQ圖\*ARABIC\s110防火墻上配置心跳接口,并啟用雙機(jī)熱備在FW2防火墻上按照以上步驟進(jìn)行配置。缺省路由配合IP-LINK鏈路檢測(cè)我們通過在公司的兩臺(tái)防火墻上寫兩條通往不同運(yùn)營商的缺省路由來訪問互聯(lián)網(wǎng)。如果某個(gè)運(yùn)營商的線路發(fā)生了故障,缺省路由并不會(huì)知道運(yùn)營商線路發(fā)生了故障,防火墻仍然會(huì)把部分業(yè)務(wù)流量送往故障的運(yùn)營商線路,導(dǎo)致部分業(yè)務(wù)流量丟失,為了避免出現(xiàn)這樣的問題,我們通過將缺省路由綁定IP-LINK技術(shù)來檢測(cè)運(yùn)營商線路是否出現(xiàn)了故障,一旦檢測(cè)到線路故障,那么被綁定的缺省路由將會(huì)失效,業(yè)務(wù)流量也會(huì)被切換到另外一條缺省路由上,保證公司網(wǎng)絡(luò)業(yè)務(wù)的可靠性。在這里以防火墻FW1作為配置舉例,用圖片來展示:使能IP-LINK功能,且配置IP-LINK組,使用ICMP檢測(cè)運(yùn)營商線路:圖STYLEREF1\s4SEQ圖\*ARABIC\s111使能IP-LINK功能,且配置IP-LINK組將缺省路由綁定IP-LINK組圖STYLEREF1\s4SEQ圖\*ARABIC\s112將缺省路由綁定IP-LINK組防火墻安全策略與NAT策略安全策略在防火墻轉(zhuǎn)發(fā)報(bào)文的過程中扮演著重要角色,只有規(guī)則允許通過,報(bào)文才能在安全區(qū)域之間流動(dòng),否則報(bào)文將被丟棄。在佛山傳媒公司網(wǎng)絡(luò)的防火墻設(shè)備上,我們需要配置安全策略來匹配公司的業(yè)務(wù)流量,實(shí)現(xiàn)公司網(wǎng)絡(luò)的內(nèi)外網(wǎng)的互訪,另外,公司與各分部通過搭建IPSecVPN來實(shí)現(xiàn)公司整體業(yè)務(wù)的互聯(lián)互通,在防火墻上要針對(duì)公司需求配置IPSecVPN的安全策略。在這里以防火墻FW1進(jìn)行配置舉例,由于開啟了雙機(jī)熱備,所以主防火墻FW1的配置會(huì)備份到備防火墻FW2上:配置各部門訪問互聯(lián)網(wǎng)的安全策略,其中針對(duì)電信和聯(lián)通運(yùn)營商設(shè)置了兩個(gè)安全區(qū)域,根據(jù)這兩個(gè)安全區(qū)域設(shè)置了兩個(gè)安全區(qū)域,分別是trust-to-isp1-staff和trust-to-isp2-staff,用圖片進(jìn)行舉例:圖STYLEREF1\s4SEQ圖\*ARABIC\s113部分訪問互聯(lián)網(wǎng)的安全策略配置允許總部到分部建立IPSecVPN隧道的安全策略,南海分部使用公網(wǎng)IP:來建立VPN隧道,總部則使用公網(wǎng)IP:來建立VPN隧道,用圖片進(jìn)行舉例(在這里只展示總部到南海分部的配置):圖STYLEREF1\s4SEQ圖\*ARABIC\s114配置允許總部到分部建立IPSecVPN隧道的安全策略配置允許總部各部門通過IPSecVPN隧道訪問分部的安全策略,總部允許公司行政部、銷售部、財(cái)政部、IT部和綜合部訪問南海分部的綜合部,南海分部綜合部的網(wǎng)段為/22,用圖片進(jìn)行舉例:圖STYLEREF1\s4SEQ圖\*ARABIC\s115配置允許總部各部門通過IPSecVPN隧道訪問分部的安全策略配置允許分部通過IPSecVPN隧道訪問總部業(yè)務(wù)的安全策略,用圖片進(jìn)行舉例:圖STYLEREF1\s4SEQ圖\*ARABIC\s116配置允許分部通過IPSecVPN隧道訪問總部業(yè)務(wù)的安全策略佛山傳媒公司一共有818名員工,但向運(yùn)營商申請(qǐng)的公網(wǎng)地址就只有6個(gè),為了保證公司各部門的內(nèi)網(wǎng)用戶都能訪問互聯(lián)網(wǎng),需要在防火墻上配置NAT功能,將內(nèi)網(wǎng)IP地址轉(zhuǎn)換為公網(wǎng)IP地址,另外,公司通過與香港服務(wù)器建立L2TPVPN隧道來訪問國際業(yè)務(wù)網(wǎng)站,需要在LAC(防火墻作為LAC)上配置Easy-IP方式的NAT技術(shù),這里的配置在4.5公司總部與香港服務(wù)器的L2TPVPN搭建章節(jié)中展示。在配置NAT功能的時(shí)候,還要考慮到IPSecVPN的問題,在這里的配置在4.4公司總部與分部的IPSecVPN搭建章節(jié)中介紹。在這里以防火墻FW1上各部門內(nèi)網(wǎng)用戶轉(zhuǎn)換為公網(wǎng)IP的配置進(jìn)行舉例,用圖片展示:配置NAT地址池,采用PAT方式將內(nèi)網(wǎng)地址轉(zhuǎn)換為公網(wǎng)地址:圖STYLEREF1\s4SEQ圖\*ARABIC\s117配置NAT地址池,采用PAT方式配置NAT策略,調(diào)用NAT地址池:圖STYLEREF1\s4SEQ圖\*ARABIC\s118配置NAT策略公司總部與分部的主備IPSecVPN搭建佛山傳媒公司一共有四個(gè)分部,分別是南海分部、順德分部、三水分部和高明分部,為了使總部與各分部之間構(gòu)建一個(gè)互聯(lián)互通的業(yè)務(wù)網(wǎng)絡(luò),且要保證業(yè)務(wù)數(shù)據(jù)的安全性,所以在這里采用IPSecVPN技術(shù)來搭建一個(gè)總部與各分部之間的業(yè)務(wù)資源VPN網(wǎng)絡(luò)。另外,為了更好地配合防火墻的雙機(jī)熱備技術(shù),我們會(huì)在防火墻上搭建主備模式的IPSecVPN。IPSec(IPSecurity)不是一個(gè)單獨(dú)的協(xié)議,也可以說是一個(gè)框架,包括AH(認(rèn)證頭)協(xié)議和ESP(封裝有效載荷)協(xié)議、IKE(密鑰管理協(xié)議)等協(xié)議,以及用于用戶身份認(rèn)證和數(shù)據(jù)加密的一系列算法。IPSec協(xié)議族可在網(wǎng)絡(luò)層通過數(shù)據(jù)源認(rèn)證、數(shù)據(jù)加密、數(shù)據(jù)完整性和抗重放功能來保證雙方Internet上傳輸數(shù)據(jù)的安全性。在這里以總部防火墻FW1和南海分部防火墻FW5進(jìn)行配置舉例(南海分部防火墻要進(jìn)行鏡像配置),由于開啟了雙機(jī)熱備,所以主防火墻FW1的配置會(huì)備份到備防火墻FW2上:在防火墻上配置ACL,定義需要保護(hù)的數(shù)據(jù)流量:圖STYLEREF1\s4SEQ圖\*ARABIC\s119總部FW1防火墻的ACL配置圖STYLEREF1\s4SEQ圖\*ARABIC\s120南海分部FW5防火墻的ACL配置在防火墻上創(chuàng)建IPSec安全提議fscm,這里僅展示總部防火墻配置,南海分部防火墻配置只要保持一致即可:圖STYLEREF1\s4SEQ圖\*ARABIC\s121總部FW1防火墻的IPSec安全提議配置在防火墻上創(chuàng)建IKE安全提議10,這里僅展示總部防火墻配置,南海分部防火墻配置只要保持一致即可:圖STYLEREF1\s4SEQ圖\*ARABIC\s122總部FW1防火墻的IKE安全提議配置在防火墻上創(chuàng)建IKE對(duì)等體,引用之前創(chuàng)建的ike安全提議10。由于總部防火墻采用策略模板方式創(chuàng)建IPSec策略,所以并不需要指定遠(yuǎn)端分部的公網(wǎng)地址,而南海分部以ISAKMP方式創(chuàng)建IPSec策略,另外需要指定總部的公網(wǎng)地址,而不是或者,因?yàn)榭偛拷⒌氖侵鱾銲PSecVPN,如果指定的不是,那么當(dāng)總部主防火墻發(fā)生故障時(shí),南海分部會(huì)與總部斷開IPSec隧道。ike安全提議采用預(yù)共享密鑰,所以總部和分部都要配置相同的密鑰:圖STYLEREF1\s4SEQ圖\*ARABIC\s123總部FW1防火墻創(chuàng)建ike對(duì)等體圖STYLEREF1\s4SEQ圖\*ARABIC\s124南海分部FW5防火墻創(chuàng)建ike對(duì)等體在防火墻上創(chuàng)建IPSec策略,引用之前創(chuàng)建的ACL、ike對(duì)等體和IPSec提議。其中總部以策略模板方式創(chuàng)建IPSec策略,南海分部以ISAKMP方式創(chuàng)建IPSec策略??偛縿?chuàng)建完策略模板fscm后,還需要在創(chuàng)建一個(gè)IPSec策略hsb來引用策略模板:圖STYLEREF1\s4SEQ圖\*ARABIC\s125總部FW1防火墻創(chuàng)建IPSec安全策略圖STYLEREF1\s4SEQ圖\*ARABIC\s126南海分部FW5創(chuàng)建IPSec安全策略在防火墻上配置NO-NAT的NAT策略,由于IPSec安全策略引用的ACL優(yōu)先級(jí)并不優(yōu)于NAT策略,如果沒有設(shè)置針對(duì)VPN流量NO-NAT的NAT策略,那么VPN流量都會(huì)被訪問互聯(lián)網(wǎng)的NAT策略匹配,導(dǎo)致VPN業(yè)務(wù)無法通信,另外NAT策略是按順序來匹配的,所以VPN的NO-NAT策略一定要在訪問互聯(lián)網(wǎng)的NAT策略前面,否則VPN流量仍會(huì)匹配上互聯(lián)網(wǎng)的NAT策略,導(dǎo)致VPN業(yè)務(wù)無法通信。圖STYLEREF1\s4SEQ圖\*ARABIC\s127總部FW1防火墻上NO-NAT策略圖STYLEREF1\s4SEQ圖\*ARABIC\s128南海分部FW5防火墻上NO-NAT策略在防火墻出口上引用IPSec策略hsb。在這里僅展示南海分部FW5防火墻配置,總部同樣也在外網(wǎng)接口上引用IPSec策略hsb,用圖片展示:圖STYLEREF1\s4SEQ圖\*ARABIC\s129南海分部FW5防火墻在外網(wǎng)接口引用IPSec策略公司總部與香港服務(wù)器的L2TPVPN搭建由于某些特殊的原因,較多的國際網(wǎng)站在國內(nèi)是無法訪問的,比如谷歌、推特、YouTube等等,部分可以訪問的網(wǎng)站也因訪問速度過于緩慢導(dǎo)致體驗(yàn)極差。佛山傳媒公司在文化傳媒業(yè)界具有很高的知名度,而且旗下有眾多知名報(bào)紙雜志報(bào)刊,其中新聞?lì)愲s志報(bào)刊對(duì)國際時(shí)事的變化非常重視,要求能隨時(shí)得到最新的情報(bào),但是公司租用的聯(lián)通和電信線路在訪問國際網(wǎng)站時(shí)都非常的緩慢,而且大部分都是無法訪問的,為了解決這個(gè)問題,公司向聯(lián)通運(yùn)營商購買了加速服務(wù),接入到由聯(lián)通搭建的加速網(wǎng)絡(luò),實(shí)現(xiàn)暢通無阻高速訪問國際網(wǎng)站的需求。經(jīng)過與聯(lián)通工作人員的討論后,決定在公司出口網(wǎng)關(guān)設(shè)備通過使用LAC自撥號(hào)模式(LAC-Auto-Initiated)與聯(lián)通運(yùn)營商設(shè)備(LNS)建立L2TPVPN隧道,然后在公司防火墻上寫訪問國際網(wǎng)站的靜態(tài)路由指向Virtual-Template1接口。在防火墻使用LAC自撥號(hào)模式(LAC-Auto-Initiated)模式L2TP,與聯(lián)通LNS設(shè)備建立L2TP隧道,創(chuàng)建L2TP會(huì)話,在這里公司內(nèi)網(wǎng)終端設(shè)備并不需要通過撥號(hào)來建立L2TP隧道,接下來將以FW1防火墻作為LAC的配置舉例(不需要配置AAA認(rèn)證),而聯(lián)通LNS設(shè)備配置(需要配置AAA認(rèn)證)不做介紹。全局使能L2TP,并創(chuàng)建一個(gè)L2TP組,配置用于向聯(lián)通LNS設(shè)備發(fā)起L2TP撥號(hào)的賬號(hào)和密碼(由聯(lián)通提供),其中要指定隧道對(duì)端設(shè)備地址(聯(lián)通LNS)圖STYLEREF1\s4SEQ圖\*ARABIC\s130在FW1防火墻上創(chuàng)建L2TP組配置Virtual-Template1接口,配置虛擬的PPP用戶的賬號(hào)和密碼,這里要與L2TP組的賬號(hào)和密碼一致。指定采用由聯(lián)通LNS為Virtual-Template1接口分配IP地址,配置LAC向LNS發(fā)起撥號(hào)功能且引用上面創(chuàng)建的L2TP組。圖STYLEREF1\s4SEQ圖\*ARABIC\s131在FW1防火墻上配置Virtual-Template1接口因?yàn)槁?lián)通LNS設(shè)備只認(rèn)他分配的地址,所以需要在防火墻上配置Easy-IP方式的NAT策略圖STYLEREF1\s4SEQ圖\*ARABIC\s132在FW1防火墻上配置Easy-IP方式的NAT策略在防火墻上指向Virtual-Template1接口的靜態(tài)路由圖STYLEREF1\s4SEQ圖\*ARABIC\s133指向Virtual-Template1接口的靜態(tài)路由本章總結(jié)在佛山傳媒公司網(wǎng)絡(luò)設(shè)計(jì)中,我們采用了三層網(wǎng)絡(luò)結(jié)構(gòu)對(duì)公司網(wǎng)絡(luò)拓?fù)溥M(jìn)行設(shè)計(jì),將VLAN、MSTP、VRRP、鏈路聚合、DHCP、OSPF、防火墻雙機(jī)熱備、IP-LINK鏈路檢測(cè)、VGMP、NAT、防火墻安全策略、防火墻NAT策略、ACL、IPSecVPN、L2TPVPN等技術(shù)集成在公司網(wǎng)絡(luò)設(shè)計(jì)中,保證公司網(wǎng)絡(luò)的穩(wěn)定運(yùn)行,為公司各部門工作人員提供了高效可靠的工作網(wǎng)絡(luò)。網(wǎng)絡(luò)測(cè)試公司匯聚網(wǎng)絡(luò)測(cè)試MSTP+VRRP的應(yīng)用測(cè)試在接入交換機(jī)LSW1查看MSTP實(shí)例10和實(shí)例20的端口狀態(tài),其中在實(shí)例10中,G0/0/2的端口被阻塞,在實(shí)例20中,G0/0/1的端口被阻塞,符合設(shè)計(jì)要求。圖STYLEREF1\s5SEQ圖\*ARABIC\s11各實(shí)例下的端口狀態(tài)在匯聚交換機(jī)LSW7查看VRRP各進(jìn)程狀態(tài)信息,LSW7作為行政部、銷售部、財(cái)政部、IT部的主交換機(jī),在VLAN10、20、30和40都是Master狀態(tài),而LSW7作為綜合部的備交換機(jī),在VLAN72是Backup狀態(tài),符合設(shè)計(jì)要求。圖STYLEREF1\s5SEQ圖\*ARABIC\s12VRRP狀態(tài)在接入交換機(jī)LSW1關(guān)閉G0/0/1端口,模擬鏈路故障,以此來測(cè)試VRRP主備交換機(jī)切換。關(guān)閉G0/0/1端口后,匯聚交換機(jī)LSW7檢測(cè)到鏈路故障,出現(xiàn)了大量的日志,日志顯示將VRRP10、20、30、40的進(jìn)程切換到Backup狀態(tài)圖STYLEREF1\s5SEQ圖\*ARABIC\s13日志提示在LSW7查看交換機(jī)VRRP狀態(tài),可以看到LSW7對(duì)行政部、銷售部、財(cái)政部、IT部都已經(jīng)切換到Backup狀態(tài)。圖STYLEREF1\s5SEQ圖\*ARABIC\s14檢測(cè)到鏈路故障后VRRP狀態(tài)切換DHCP的應(yīng)用測(cè)試在這里以行政部的客戶端作為舉例,測(cè)試是否能從DHCP服務(wù)器獲取到地址。將行政部的客戶端設(shè)置為通過DHCP獲取地址圖STYLEREF1\s5SEQ圖\*ARABIC\s15設(shè)置通過DHCP獲取地址查看客戶端是否從DHCP服務(wù)器獲取到地址圖STYLEREF1\s5SEQ圖\*ARABIC\s16成功獲取到IP地址公司雙出口網(wǎng)關(guān)網(wǎng)絡(luò)測(cè)試公司內(nèi)網(wǎng)訪問互聯(lián)網(wǎng)測(cè)試防火墻在OSPF進(jìn)程中引入了訪問互聯(lián)網(wǎng)的缺省路由,從匯聚交換機(jī)LSW7的路由可以看到已經(jīng)學(xué)習(xí)到了這條路由,圖STYLEREF1\s5SEQ圖\*ARABIC\s17匯聚交換機(jī)LSW7學(xué)習(xí)到防火墻下發(fā)的缺省路由在行政部的客戶端進(jìn)行訪問外網(wǎng)的ping測(cè)試,成功圖STYLEREF1\s5SEQ圖\*ARABIC\s18訪問外網(wǎng)的ping測(cè)試防火墻雙機(jī)熱備的應(yīng)用測(cè)試防火墻FW1在公司的雙出口網(wǎng)關(guān)網(wǎng)絡(luò)中作為主防火墻,而FW2則作為備防火墻,通過displayhrpstate命令查看FW1的HRP狀態(tài),在圖片中顯示,F(xiàn)W1目前為active(主)狀態(tài),而鄰居防火墻FW2處于standby(備)狀態(tài)。圖STYLEREF1\s5SEQ圖\*ARABIC\s19查看防火墻hrp狀態(tài)在防火墻FW1上模擬設(shè)備故障,將FW1關(guān)閉后,備防火墻FW2出現(xiàn)了HRP狀態(tài)切換日志,在這里我們可以看出備防火墻FW2從standby狀態(tài)切換到master狀態(tài)。缺省路由配合IP-LINK鏈路檢測(cè)測(cè)試公司租用了聯(lián)通和電信的線路,在防火墻上寫了兩條缺省路由分別指向了聯(lián)通和電信的設(shè)備,并且綁定IP-LINK鏈路檢測(cè)技術(shù)來檢測(cè)運(yùn)營商線路是否正常工作。在這里模擬當(dāng)聯(lián)通線路發(fā)生了故障,當(dāng)IP-LINK檢測(cè)到線路故障,會(huì)將自己綁定的缺省路由去掉,公司訪問互聯(lián)網(wǎng)的流量切換到電信線路。在主防火墻FW1上我們可以看到由兩條綁定了IP-LINK組的缺省路由圖STYLEREF1\s5SEQ圖\*ARABIC\s110防火墻存在兩條缺省路由當(dāng)聯(lián)通線路發(fā)生了故障后,IP-LINK組1會(huì)發(fā)現(xiàn)無法到達(dá)聯(lián)通線路測(cè)試地址,會(huì)產(chǎn)生刪除去往聯(lián)通線路的缺省路由的日志,在日志我們可以看到ChangType=Delete。圖STYLEREF1\s5SEQ圖\*ARABIC\s111IP-LINK刪除日志查看防火墻路由表,只剩下去往電信線路的缺省路由。圖STYLEREF1\s5SEQ圖\*ARABIC\s112防火墻只剩下通往電信的默認(rèn)路由總部與分部的主備IPSecVPN通信測(cè)試佛山傳媒公司總部采用了策略模板方式來搭建IPSecVPN,只有分部主動(dòng)發(fā)起連接才會(huì)建立總部與分部的IPSecVPN隧道,在這里我們使用南海分部的內(nèi)網(wǎng)客戶端去訪問總部行政部的客戶端,采用ping的方式去ping總部行政部客戶端,通過測(cè)試,成功ping通。圖STYLEREF1\s5SEQ圖\*ARABIC\s113南海分部客戶

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論